freebuf
本文来源:蚁景科技
本文首发于“合天网安实验室”作者:影子本文涉及靶场知识点:任意文件上传漏洞的代码审计01 实验:任意文件上传漏洞的代码审计01(合天网安实验室)
通过本节的学习,了解文件上传漏洞的原理,通过代码审计掌握文件上传漏洞产生的原因、上传绕过的方法以及修复方法。
大表哥把源码给我了,审一波
第一个入眼的就是admin测试一波,大表哥把验证码给关了,真好,哈哈哈哈
随手试几个不知道你们有没有看清楚,大表哥第一张给我拍的照片没有打码,哈哈哈,里面有用户名,这算不算信息泄露呢,哈哈哈
第一张图片可以勉强看出来
用户名是admin大表哥又把验证码关了,哈哈哈,这不就是让我爆破吗祭出我的神器,burpsuite
密码明文传输省了我很多事掏出我的珍藏版字典
字典很棒哦第二个包就成功了
直接登录
后台在手,天下我有
找到一个上传图片的地方抓一下包,上个shell,完事,哈哈哈哈
再试一下解析漏洞
把20改成00 
懒得审代码了,直接找度娘
漏洞POC
本地尝试复现
本地复现成功Then???有什么用处?就一个本地包含,没公开的,我要苦逼的审代码?那是必然不可能的,一切随缘法
获取更新列表
直接从官网获得更新后的代码,并写入本地直接上kaliSsh连上之后
Dns欺骗一下Etter.dns 添加俩条记录
这个cms团队的人为了安全考虑并没有在发行版中添加这个函数
所以说我们现在dns欺骗之后,本地的网站并不会更新成功,所以直接写一段代码,在网站更新的时候访问的那个网址,直接返回需要的数据先随便下载个文件,看一下值
我们可以看到,我们执行的是getServerFile函数
直接修改
访问控制器
更新的根本就是直接获取数据,进行写入$des 的值就是写入目录
我们在我们的start.php添加一句话木马并把
这段代码注释
再次访问getServerFile函数获取写入一句话木马的值写一段php代码在访问这个网址的时候,直接返回这个值Index.php:
再进行目标网站的更新
更新的/doc/ChangeLog.txt修改为/core/start.php
更新
更新成功访问小马
不说了溜了
本文首发于“合天网安实验室”作者:影子本文涉及靶场知识点:任意文件上传漏洞的代码审计01 实验:任意文件上传漏洞的代码审计01(合天网安实验室)
通过本节的学习,了解文件上传漏洞的原理,通过代码审计掌握文件上传漏洞产生的原因、上传绕过的方法以及修复方法。
0x01
呕吼,各位大表哥们,又是我,影子,上次说了一下arp内网欺骗,但是我是搞web的啊,我搞这干嘛?今天来次实战求评论,求反响0x02
大表哥在局域网里面搞了个网站让我日。大表哥还算好,把验证码给我关了,哈哈哈哈ps:此方法只适用于特定环境,求评论0x03
进去先看一眼大表哥把源码给我了,审一波第一个入眼的就是admin测试一波,大表哥把验证码给关了,真好,哈哈哈哈随手试几个不知道你们有没有看清楚,大表哥第一张给我拍的照片没有打码,哈哈哈,里面有用户名,这算不算信息泄露呢,哈哈哈第一张图片可以勉强看出来用户名是admin大表哥又把验证码关了,哈哈哈,这不就是让我爆破吗祭出我的神器,burpsuite密码明文传输省了我很多事掏出我的珍藏版字典字典很棒哦第二个包就成功了直接登录后台在手,天下我有找到一个上传图片的地方抓一下包,上个shell,完事,哈哈哈哈再试一下解析漏洞把20改成00 懒得审代码了,直接找度娘漏洞POC本地尝试复现本地复现成功Then???有什么用处?就一个本地包含,没公开的,我要苦逼的审代码?那是必然不可能的,一切随缘法0x04
事情来了转机获取更新列表直接从官网获得更新后的代码,并写入本地直接上kaliSsh连上之后Dns欺骗一下Etter.dns 添加俩条记录这个cms团队的人为了安全考虑并没有在发行版中添加这个函数所以说我们现在dns欺骗之后,本地的网站并不会更新成功,所以直接写一段代码,在网站更新的时候访问的那个网址,直接返回需要的数据先随便下载个文件,看一下值我们可以看到,我们执行的是getServerFile函数直接修改访问控制器更新的根本就是直接获取数据,进行写入$des 的值就是写入目录我们在我们的start.php添加一句话木马并把这段代码注释再次访问getServerFile函数获取写入一句话木马的值写一段php代码在访问这个网址的时候,直接返回这个值Index.php:再进行目标网站的更新更新的/doc/ChangeLog.txt修改为/core/start.php更新更新成功访问小马不说了溜了转载请注明来自网盾网络安全培训,本文标题:《利用官网getshell》
标签:Getshell
- 上一篇: 内网渗透之Responder攻防(上)
- 下一篇: 2020-CSR-CTF-Web-复盘以及分析
- 关于我们
